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Le present rapport de recherche Internationale, etetHI par radmlnlstration chargee de la recherche Internationale, est transmls au 
ddposant conforrn6ment a Particle 18. Une cople en est transmlse au Bureau tntemational. 

Ce rapport de recherche Internationale comprend 3 feullles. 

[X| II est aussl acoompagne rf une cople de cheque document relattf a P6tat de la technique qui y est dt£. 



1. 



du rapport 

a. En ce qui conceme la langue, la recherche Internationale a ete effectuee sur la base de la demande Internationale dans la 
tongue clans laquelle elle a 6te* cteposee, sauf Indication contralre dortnee sous le meme point 



□ 



la recherche Internationale a etd effectuee sur la base crime traduction de la demande Internationale remise a ('administration. 



b. En ce qui conceme las sequences de nucleotides ou cf acides amines dlvulguees dans la demands Internationale (le cas echeant), 
la recherche Internationale a 6t& effectuee sur la base du llstage des sequences : 
| | contenu dans la demands Internationale, sous forme ecrtte. 

oeposee avec la demande Internationale, sous forme dechlffrable par ordlnateur. 
remls ulterleurement a radmlnlstration, sous forme ecrtte. 
rem Is ulterleurement a radmlnlstration, sous forme dechlffrable par ordlnateur. 



□ 
□ 
□ 
□ 

□ 



La declaration, selon laquelle le llstage des sequences present* par ecrtt et fouml ulterleurement ne vas pas au-dela da la 
divulgation falts dans la demande telle que deposee, a ef£ foumle. 

La declaration, selon laquelle les Informations enreglstrees sous forme dechlffrable par ordlnateur sont klentiques a cedes 
du llstage des sequences presents par ecrtt, a et£ foumle. 



2. 
3. 



I I II a ete eetlme que certaines revendications ne pouvalent pas fairs i'obfet cTune recherche (voir le cadre I). 
I I II y a absence cfuntt* de Invention (voir le cadre II). 



4. En ce qui conceme le trtre, 

|X| le *«w3b est approuve tel qull a et£ remls par le deposant 

I I Le texte a etB 6tabll par radmlnlstration et a la teneur sulvante: 



En ce qui conceme I'abrege, 

1° texts est approuve tel qull a 6te remls par le deposant 

□ le texte (reprodutt darts le cadre III) a 6t6 etabll par radmlnlstration confbrmement a la regie 38.2b). Le deposant peut 
presenter des observations a radmlnlstration dans un deJal <fun mots a compter de la date d'expedftion du present rapport 
de recherche Internationale. 

La figure des dessjns a publler avec I'abrege est la Rgure n° 

I I suggeres par le deposant. fX) Aucune des figures 

□ n'est a oubller. 
parce que le deposant n'a pas suggere de figure. 

I I parce que cette figure caractdrtse mleux ('Invention. 
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RAPPORT DE RECHERCHE INTERNATIONALE 



A. CLASSEMENT DE L'OBJET DE LA Dl 

CIB 7 H04L9/32 



Demand© Internationale No 

00/00174 



Seton la classification tntemaflonale des brevets (CIB) ou a te tote selon la classification natlonate et la CIB 

B. DOMAINES SUR LESQUELS LA RECHERCHE A PORTE 

Documentation mlnlmaJe consuttee (systems de classification sulvl des symboles de ciassement) 

CIB 7 H04L 

Documentation consuttee autre que la documentation mtrdmale dans la mesure oCi ces documents reievent des domaines sur lesqueb a porta la recherche 
Base de donnees electronlque consuttee au cours de la recherche Internationale (nom de la base de donnees, et si realisable, termes de recherche utilises) 



C. DOCUMENTS CONSIDERE9 COMME PERTINENTS 



Categorte ° Identification des documents cites, avec, le cas echeant, Plndlcatlon des passages pertinents 



no. des revendtaatJons vtsees 



BRANDT J ET AL: "Zero-knowledge 
authentication scheme with secret key 
exchange" 

ADVANCES IN CRYPTOLOGY - CRYPTO '88. 

PROCEEDINGS, SANTA BARBARA, CA, USA, 21-25 

AUG. 1988, pages 583-588, XP000090662 

1990, Berlin, West Germany, 

Spr1 nger-Verl ag , West Germany ISBN: 

3-540-97196-3 

page 584, allnea 4 

-/-- 



1,6 



| )(| Voir la suite du cadre C pour la fin de la Dste des documents 



□ 



Les documents de families de brevets sont Indlques en annexe 



* Categories speclaJes de documents cites: 



document deftntesant Tetat 
considers com me 



nt Tetat general de la technique, i 
paitlcuDeremsrtt pertinent 



"E" document anterleur, mala pubfle a la date de depot tntematlonal 
ou apres cette date 

"L" document pouvant Jeter un doute sur una revendlcatlon de 
prtortte ou cttd pour determiner la date de publication crime 
autre citation ou pour une raJson spedale (teDe qi/lndlquee) 

^O" document se referent a une divulgation orale, a un usage, a 
une exposition ou tous autres moyens 

"P" document pubfle avant la date de depot Internationa], mals 
posterteurement a la date de prtortte revendkjuee 



"T" document idterteur pubfla apres la date de depot International ou la 
date de prtortte et rfappartenenant pas a P6tat de la 
technique pertinent, mate efts pour comprendre le prtne^e 
ou la theorte constltuant la base de f Invention 

"X" document partlcuOerement pertinent; rtnven tlon revendlquee ne peut 
etre consideree comme nouvelle ou comme ImpDquant une acth/tte 
Inventive par rapport au document consldere Isolement 

■Y' document partlcuQeremerrt pertinent; rtnven tlon revendlquee 
ne peut etre consideree comme Impllquant une actfvtte Inventive 
loreque le document est assocle a un ou plusleurs autres 
documents de meme nature, cette corrtbtnateon etant evtdente 
pour une personne du metier 

■&■ document qui taft partte de la meme famlDe de brevets 



Date a laquelle la recherche tntematkmale a eta effectlvement achevee 

18 fevHer 2000 


Date cTexpedNon du present rapport de recherche Internationale 

25/02/2000 


Nom et adresae postale de radrnlntetratlon charges de la recherche tntematlonaJe 
Office European des Brevets, P.a 5618 Patentlaan 2 
NL-2280HVRIjswqk 
Tel. (401-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (431-70) 340-3016 


Foncttonnalre autonse* 

Zucka, G 



Fonradaire PCT/1SA/21 0 (dauxttnw tout)*) (Juliet 1 982) 
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RAPPORT DE RECHERCHE INTERNATIONALE 



C^sutto) DOCUMENTS CONSIDERES COMI 



IMWfcHllNfcNIS 



Demande Internationale No 

P(MR 00/00174 



Catagorie' 


Identification dm documents diss, avec,le caa eehaant, I'indlcationdes passages partlnanta 


no. des revendJcafloTO vtsees 


X 


FIAT A ET AL: "How to prove yourself: 

practical solutions to Identification and 

signature problems" 

ADVANCES IN CRYPTOLOGY - CRYPTO '86 

PROCEEDINGS, SANTA BARBARA, CA, USA, 11-15 

AUG 1986 Daaes 186-194 XP000090668 

1987. Berlin. West Germany, 

Sprlnger-Verlag, West Germany ISBN: 

3-540-18047-8 

cite dans la demande 

page 187 -page 188 


1,6 


A 


K0NIGS H -P: "Cryptographic 
Identification methods for smart cards 1n 

VIIC \Jl U^Cgd V 1 d UAIIUOll U 1 X,Clt 1 Ull 

IEEE COMMUNICATIONS MAGAZINE, JUNE 1991, 
USA, 

vol. 29, no. 6, pages 42-48, XP002126721 

ISSN: 0163-6804 
page 46, colonne 2 -page 47, colonne 2 


1-7 


A 


GUILLOU L C ET AL: "A practical 

zero-knowledge protocol fitted to security 

microprocessor minimizing both 

transmission and memory" 

ADVANCES IN CRYPTOLOGY - EUROCRYPT '88. 

WORKSHOP ON THE THEORY AND APPLICATION OF 

CRYPTOGRAPHIC TECHNIQUES. PROCEEDINGS, 

DAVOS, SWITZERLAND, 25-27 MAY 1988, pages 

123-128 XP000562467 

1988, Berlin, West Germany, 

Sprlnger-Verlag, West Germany ISBN: 

3-540-50251-3 

cite dans la demande 

page 125 -page 127 


1,6 


A 


QUISQUATER J -J ET AL: "Fast decipherment 
algorithm for RSA public-key cryptosystem" 

ELECTRONICS LETTERS 14 OCT 1Q82 UK 
vol. 18, no. 21, pages 905-907, 
XP000577331 

ISSN: 0013-5194 
cite dans la demande 

f1 ciurp 1 


5 


A 


FR 2 752 122 A (FRANCE TELECOM) 
6 fevrler 1998 (1998-02-06) 
cite dans la demande 
page 6 -page 13 


1-7 


A 


FR 2 716 058 A (FRANCE TELECOM ;P0STE) 
11 aoOt 1995 (1995-08-11) 
cite dans la demande 
page 8 -page 13, allnea 2 


1-7 
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Document brevet ctt£ 
au rapport de recherche 



dt famine* de brevets 



Datede 
publication 



No 



Membre{8) de la 
famQIe de brevets) 



R 00/00174 



Dated© 
pifeBcation 



FR 2752122 



06-02-1998 



AUCUN 



FR 2716058 



11-08-1995 



DE 
DE 
EP 



69505703 D 
69505703 T 
0666664 A 



10-12-1998 
02-06-1999 
09-08-1995 



RxmUak* PCT718V210 |mn tamOcs dt braveta) (M>«* 1M2> 



PATENT COOPERATION TREATY 

PCT 



" 

^ V ^ n 0\? INTERNATIONAL PRELIMINARY EXAMINATION REPORT 

< V V So 

^ (PCT Article 36 and Rule 70) 



Applicant's or agent* s file reference 
SP16207.C RS 


r~rir*w ^ ee Notification of Transmittal of International 
FOR FURTHER ACTION Pre i iminary Examination Report (Form PCT/IPE A/4 1 6) 


International application No. 

PCT/FR00/00174 


International filing date (day/month/year) 
26 January 2000 (26.01.00) 


Priority date {day/month/year) 

27 January 1999 (27.01.99) 


International Patent Classification (IPC) or national classification and IPC 
H04L 9/32 


RECEIVED 






JAN 1 4 2002 


Applicant 


FRANCE TELECOM 


Technology Center 2100 



This international preliminary examination report has been prepared by this International Preliminary Examining 
Authority and is transmitted to the applicant according to Article 36. 



This REPORT consists of a total of 



. sheets, including this cover sheet. 



This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have 
been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of 



sheets. 



3. This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 

Certain defects in the international application 

Certain observations on the international application 



I 




II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 


□ 


VIII 


□ 



Date of submission of the demand 

22 July 2000 (22.07.00) 


Date of completion of this report 

19 December 2000 (19.12.2000) 


Name and mailing address of the IPEA/EP 
Facsimile No. 


Authorized officer 
Telephone No. 
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INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International application No. 

PCT/FR00/00174 



I. Basis of the report 



1 . This report has been drawn on the basis of {Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.). 

| j the international application as originally filed. 

the description, pages 1-4,8-12 , as originally filed, 

pages , filed with the demand, 

pages 5-7 s fii e d with the letter of — 

pages , filed with the letter of — 



02 October 2000 (02.10.2000) 



the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



1-7 



, as originally filed, 

, as amended under Article 1 9, 

, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



02 October 2000 (02.10.2000) 



| | the drawings, sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

I 1 the description, pages 

I I the claims, Nos. 

I I the drawings, sheets/fig 



3 I I ^ ms re P ort nas Deen established as if (some of) the amendments had not been made, since they have been considered 
1 — 1 to go beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 



4. Additional observations, if necessary: 



Form PCT/IPEA/409 (Box I) (January 1994) 



> INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



^^^rnational application No. 
PCT/FR 00/00174 



V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



1 . Statement 

Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-7 



1-7 



1-7 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 

1. Reference is made to the following documents: 

Dl : Brandt:, J. et al - : 1 Zero -knowledge 
authentication scheme with secret key Exchange' 
Advances in Cryptology - Crypto '88 Proceedings, 
Santa Barbara, CA, USA, 21-25 AUG. 1988, pages 583- 
588, XP000090662 1990, Berlin, West Germany, 
Springer-Verlag, ISBN: 3-540-97196-3 



2. Document Dl, which is cited on page 5 of the amended 
description, discloses (see, in particular, page 
584, paragraph 4) an authentication method using a 
first entity to be authenticated (P), having a 
public key e and a secret key d, said keys being 
connected by a modulus n operation, and a second, 
authenticating entity (V) to which public key e is 
known, said entities having information exchanging 
means requiring zero knowledge transfer ("zero- 
knowledge interactive proof system" ) and being 
capable of performing cryptographic calculations in 
connection with said information, wherein some of 
the calculations are performed with modulus n. 



Each entity to be authenticated has its own modulus 
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>* INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



frnational application No. 
PCT/FR 00/00174 



n, and it is obvious to a person skilled in the art 
that said modulus must necessarily be communicated 
in some way to the authenticating entity. 

However, Dl does not disclose the feature whereby 
the modulus n operation is v = s _t mod n, where t is 
a parameter. Therefore, the subject matter of 
independent claims 1 and 6 is novel. 



Said feature is advantageous in that it reduces the 
number of calculations performed by the 
authenticated entity by a factor of up to 2 or 3. 



None of the documents cited in the search report 
discloses such a procedure or renders it obvious. 
Therefore, an inventive step is acknowledged. 

4. It follows that the subject matter of dependent 

claims 2-5 and 7 is also novel and inventive. 



5. The subject matter of claims 1-7 is industrially 
applicable . 
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RAPPORT D'EXAMEN PRELIMINAIRE INTERNATIONAL 

(article 36 et regie 70 du PCT) 



PCT 



Reference du dossier du deposant ou du 

mandataire 

SP16207.C RS 



Demande Internationale n° 
PCT/FR00/00174 



voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 



Date du depot international (jour/mois/ann£e) 
26/01/2000 



Date de priorite Qour/mois/ann6e) 
27/01/1999 



Classification intemationale des brevets (CIB) ou a la fois classification nationale et CIB 
H04L9/32 



Deposant 

FRANCE TELECOM et al. 



1. Le present rapport d'examen preliminaire international, etabli par I'administaration chargee de I'examen preliminaire 
international, est transmis au deposant conformement a I'article 36. 

2. Ce RAPPORT comprend 5 feuilles, y compris la presente feuille de couverture. 

IS II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
[•administration chargee de I'examen preliminaire international (voir la regie 70.16 et I'instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent 6 feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 



II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 


□ 


VIII 


□ 



Base du rapport 
Priorite 

Absence de formulation d'opinion quant a la nouveaute, I'activite inventive et la possibilite 
d'application industrielle 
Absence d'unite de Tinvention 

Declaration motivee selon Particle 35(2) quant a la nouveaute, I'activite inventive et la possibilite 
d'application industrielle; citations et explications a I'appui de cette declaration 

Certains documents cites 

Irregularis dans la demande intemationale 

Observations relatives a la demande intemationale 



Date de presentation de la demande d'examen preliminaire 
intemationale 

22/07/2000 



Norn et adresse postale de ('administration chargee de 
I'examen preliminaire international: 

^- Office europeen des brevets - P.B. 5818 Patentlaan 2 

/jS) NL-2280 HV Rijswijk - Pays Bas 
jg/' Tel. +31 70 340 - 2040 Tx: 31 651 epo nl 
Fax: +31 70 340-3016 



Date d'achevement du present rapport 



19.12.2000 



Fonctionnaire autorise 
Zucka, G 

N° de telephone +31 70 340 4026 



Formulaire PCT/IPEA/409 (feuille de couverture) Qanvier 1994) 



RAPPORT DEXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande internationale n° PCT/FR00/00174 



I. Base du rapport 

1 . Ce rapport a ete re§dige sur la base des elements ci-apres (les feuilles de remplacement qui ont 4te remises a 
I'office r6cepteur en reponse £ une invitation faite conform6ment a I'article 14 sont considerees dans le present 
rapport comme "initialement dgposees" et ne sont pas jointes en annexe au rapport puisqu'elles ne contiennent 
pas de modifications (regies 70. 16 et 70.17).) : 

Description, pages: 

version initiate 

re$ue(s) le 02/1 0/2000 avec la lettre du 28/09/2000 

Revendications, N°: 

! . 7 regue(s) le 02/1 0/2000 avec la lettre du 28/09/2000 



1-4,8-12 
5-7 



2. En ce qui concerne la langue, tous les elements indiquSs ci-dessus etaient k la disposition de I'administration ou 
lui ont ete remis dans la langue dans laquelle la demande internationale a 6t6 de§pos<§e, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient a la disposition de I'administration ou lui ont 6t§ remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (seion la r§gle 23.1(b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preliminaire internationale (selon la r£gle 55.2 ou 
55.3). 

3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 
internationale (le cas echeant), Texamen preliminaire internationale a et<§ effectue sur la base du listage des 
sequences : 

□ contenu dans la demande internationale, sous forme ecrite. 

□ depose avec la demande internationale, sous forme dechiffrable par ordinateur. 

□ remis ulterieurement & I'administration, sous forme ecrite. 

□ remis ulterieurement & I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par 6crit et fourni ulterieurement ne va pas au-del& 
de la divulgation faite dans la demande telle que deposee, a §te fournie. 

□ La declaration, selon laquelle les informations enregistrees sous dechiffrable par ordinateur sont identiques k 
celles du listages des sequences Presente par ecrit, a ete fournie. 

4. Les modifications ont entraine Tannulation : 

□ de la description, pages : 



Formulaire PCT/IPEA/409 (cadres l-Vlll, feuille 1) Gullet 1998) 



RAPPORT D'EXAMEN 
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Demande internationale n° PCT/FR00/001 74 



□ des revendications, n ( 



□ des dessins, 



feuilles : 



5. □ Le present rapport a ete formula abstraction faite (de certaines) des modifications, qui ont ete considerees 
comme allant au-dela de l'expos<§ de invention tel qu'il a <§te depose, comme il est indique ci-apr£s (rfcgle 



(Toute feuille de remplacement comportant des modifications de cette nature doit etre indiquee au point 1 et 
annexee au present rapport) 

6. Observations complementaires, le cas echeant : 



V. Declaration motivee selon Particle 35(2) quant a la nouveaute, I'activite inventive et la possibilite 
d'application industrielle; citations et explications a I'appui de cette declaration 



70.2(c)) : 



1. Declaration 



Nouveaute 



Oui : 
Non : 



Revendications 
Revendications 



1-7 



Activite inventive 



Oui : 
Non : 



Revendications 
Revendications 



1-7 



Possibilite d'application industrielle Oui : 

Non : 



Revendications 
Revendications 



1-7 



2. Citations et explications 
voir feuille separee 



Formulaire PCT/IPEA/409 (cadres l-Vlll, feuille 2) Cuillet 1998) 



RAPPORT D'EXAMEN Demande intemationale n° PCT/FR00/00174 
PRELIM IN AIRE INTERNATIONAL - FEUILLE SEPAREE 



Les dispositions de I'article 34(2) b) PCT ont ete satisfaites; la caracteristique ajoutee 
aux revendications independantes vient de la revendication 2 initiale. 

Concernant le point V 

1 . II est fait reference au document suivant: 

D1 = Brandt J. et al.: 'Zero-knowledge authentication scheme with 
secret key Exchange' Advances in Cryptology - Crypto '88 
Proceedings, Santa Barbara, CA, USA, 21-25 AUG. 1988, pages 
583-588, XP000090662 1990, Berlin, West Germany, Springer- 
Verlag, ISBN: 3-540-97196-3 

2. Le document D1 , qui est cite a la page 5 de la description modifiee, divulgue (voir 
surtout la page 584, paragraphe 4) un procede d'authentification mettant en 
oeuvre une premiere entite a authentifier (P), possedant une cle publique e et une 
cle secrete d, ces cles etant reliees par une operation modulo n, et une seconde 
entite authentifiante (V), connaissant la cle publique e, ces entites, comprenant 
des moyens aptes a echanger des informations du type a apport nul de 
connaissance ("zero-knowledge interactive proof system") et a effectuer des 
calculs cryptographiques portant sur ces informations, certains calculs etant 
effectues modulo n. 

Chaque entite a authentifier possede sa propre module n, et il est clair pour 
I'homme du metier que cette module doit necessairement etre communiquee 
d'une maniere ou d'une autre a I'entite authentifiante. 

D1 ne divulgue cependant pas la caracteristique selon laquelle I'operation modulo 
n est du type v=s" , mod n, t etant un parametre. L'objet des revendications 
independantes 1 et 6 est par consequent nouveau. 

3. Ladite caracteristique a comme avantage de reduire le nombre de calculs 
effectues par I'entite authentifiee, jusqu'a un facteur de 2 ou 3. 

Aucun document cite dans le rapport de recherche ne divulgue ou ne rend evident 



Formulaire PCT/Feuille separee/409 (feuille 1) (OEB-avril 1997) 



RAPPORT D'EXAMEN Demande internationale n° PCT/FR00/001 74 
PREL1MINAIRE INTERNATIONAL - FEUILLE SEPAREE 

une telle maniere de proceder, et I'activite inventive est par consequent reconnue. 

4. L'objet des revendications dependantes 2-5 et 7 est done egalement nouveau et 
inventif. 

5. L'objet des revendications 1-7 est susceptible d'une application industrielle. 



Formulaire PCT/Feuille s6par6e/409 (feuitle 2) (OEB-avril 1997) 
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dire genere par une tierce partie de confiance, 
memorise et utilise par toutes les entites qui y sont 
rattachees. Le caractere universel de n implique qu'il 
est de tres grande taille (typiquement 1024 bits), car 
la decouverte de la factorisation de n compromettrait 
les cles secretes de tous les utilisateurs . 

Dans leur version de base, aucun des protocoles 
mentionnes plus haut ne peut etre mis en oeuvre dans 
une application soumise a de fortes contraintes, (bas 
coflt, faible complex! te) telles que decrites dans la 
section precedente, car les calculs requis ne 
pourraient etre effectues par une carte a microcircuit 
qui ne serait pas dotee d'un cryptoprocesseur . 

La demande de brevet francais FR-A-2 752 122 
decrit bien une optimisation de ces protocoles, mais 
cette optimisation reste limitee aux protocoles bases 
sur le logarithme discret dans un mode dit "a 
precalculs" qui presente 1 ' inconvenient d'impliquer des 
rechargements a intervalles reguliers. 

Le document J. BRANDT et al . intitule "Zero- 
knowledge Authentication Scheme with Secret Key 
Exchange" publie dans Advances in Cryptology-Crypto 88 
Proceedings, XP 000090662, pages 583-588, decrit un 
schema d ' authentif ication sans apport de connaissance, 
avec echange de cle secrete entre deux utilisateurs, 
schema dans lequel l-entite a authentif ier calcule son 
propre module n=pq et met en oeuvre une operation du 

type m d (mod n) . 

La presente invention vise a reduire le nombre de 
calculs effectues par l'entite authentif iee dans les 
protocoles d 1 identification (ou d • authentif ication de 
message ou de signature de message) sans apport de 
connaissance bases sur la factorisation, cette reduction 
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pouvant atteindre un facteur 2 ou 3 dans le cadre d'une 
operation particuliere du type v=s _t (mod n) . 

Elle rend ainsi possible, et plus particulierement 
quand on la couple avec le protocole Guillou- 
5 Quisquater, 1" execution rapide d'un algorithnve 
d' identification (ou d' authentif ication de message ou 
de signature de message) a cle publique dans une carte 
a microcircuit standard a bas cout, pour des 
applications telles que le porte-monnaie electronique 
10 ou la telecarte de future generation. 
Expose de 1 ' invention 

Le module n etant un parametre de type individuel 
(en d'autres termes, chaque utilisateur possede sa 
propre valeur de n) , on peut exploiter ce choix des 
15 deux manieres suivantes, (qui peuvent d'ailleurs etre 
avantageusement combinees ) : 

1) d'abord en choisissant une taille de n inferieure a la 
valeur usuelle ( typiquement inferieure a 1000 et par 
exemple comprise entre 700 et 800) ; cela est possible 
2 0 car la decouverte de la factorisation de n ne compromet 

plus que la cle secrete de 1 ' utilisateur correspondant et 
en aucune facon celle des autres ; cette seule 
modification permet de reduire deja d' environ 40% la 
duree des calculs effectues modulo n ; 

2 5 2) si 1 ' utilisateur a conserve les facteurs premiers de n 

dans la memoire de son dispositif de securite, on peut 
mettre en oeuvre la technique dite des restes chinois, 
pour reduire encore d' environ 40% la duree des calculs 
effectues modulo n, lorsque le nombre de facteurs 

3 0 premiers est 2 ; cette reduction peut etre encore 

amplifiee en utilisant plusieurs facteurs premiers 
(typiquement 3 ou 4) . 

Au total, on peut done reduire les temps de calcul 
modulo n d'au moins 60%, e'est-a-dire d'au moins un facteur 
35 2. 
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De facon precise. 1 ' invention a pour objet un 
procede d ■ authentif ication mettant en oeuvre une 
premiere entite dite "a authentif ier" , possedant une 
cle publique v et une cle secrete s, ces cles etant 
reliees par une operation modulo n ou n est un entier 
appele module qui est propre a 1' entite a authentif ier , 
et une seconde entite dite "authentif iante - , 
connaissant la cle publique v, ces entites comprenant 
des moyens aptes a echanger des informations du type a 
apport nul de connaissance et a effectuer des calculs 
cryptographiques portant sur ces informations, certains 
calculs etant effectues modulo n, ce procede etant 
caracterise en ce que le module 1' operation modulo n 
est du type v=s" c (mod n) , t etant un parametre. 

Les entites dont il est question peuvent etre, par 
exemple des cartes a microcircuit , des porte-monnaie 
electroniques , des telecartes, etc ... 

Dans un mode de mise en oeuvre avantageux, les 
echanges d' informations du type a apport nul de 
connaissance et les calculs cryptographiques sont les 
suivants : 

• 1' entite a authentif ier choisit au hasard un 
(des) nombre(s) entier (s) r compris entre 1 et 
n-1 et calcule un (des) parametre (s) x egal 
(egaux) a r t (modn), puis un (des) nombre(s) c 
appele (s) engagement (s) qui est (sont) une (des) 
fonction(s) de ce (ces) parametre(s) et 
eventuellement d'un message (M) , et envoie cet 
(ces) engagement ( s ) a 1 'entite authentif iante ; 

• 1' entite authentif iante regoit le ou les 
engagement ( s ) c, choisit au hasard un nombre e 
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RE VEND I CAT I ONS 



1. Procede d 1 authentif ication mettant en oeuvre 
une premiere entite dite "a authentif ier " (A), 

5 possedant une cle publique v et une cle secrete s, ces 
cles etant reliees par une operation modulo n oil n est 
un entier appele module, le module n etant propre a 
1' entite a authentif ier (A), et une seconde entite dite 
"authentif iante" (B) , connaissant la cle publique v, 

10 ces entites, comprenant des moyens aptes a echanger des 
informations du type a apport nul de connaissance et a 
effectuer des calculs cryptographiques portant sur ces 
informations, certains calculs etant effectues modulo 
n, ce procede etant caracterise en ce que 1' operation 

15 modulo n est du type v=s _t (mod n) , t etant un 
parametre . 

2. Procede selon la revendication 1, dans lequel 
les echanges d ' informations du type a apport nul de 

2 0 connaissance et les calculs cryptographiques sont les 
suivants : 

• 1' entite a authentif ier (A) choisit au hasard 
un (des) nombre(s) entier (s) r compris entre 1 
et n-1 et calcule un (des) parametre (s) (x) 

25 egal (egaux) a r t (modn) / puis un (des) 

nombre(s) c appele (s) engagement (s) qui est 
(sont) une (des) fonction(s) de ce (ces) 
parametre (s) et eventuellement d'un message 
(M) , et envoie cet (ces) engagement ( s ) a 

30 1' entite authentif iante (B) ; 
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• l'entite authentif iante (B) regoit le ou les 
engagement ( s ) c, choisit au hasard un nombre e 
appele "question" et envoie cette question a 
l'entite a authentif ier (A) ; 

• l'entite a authentif ier (A) regoit la question 
e, effectue un (des) calcul(s) utilisant cette 
question e et la cle secrete s, le resultat de 
ce (ces) calcul(s) constituant une (des) 
reponse(s) y, et envoie cette (ces) reponse(s) 
a l'entite authentif iante (B) ; 

• l'entite authentif iante (B) regoit la (les) 
reponse(s) y, effectue un calcul utilisant la 
cle publique v et le module n, et verifie par 
une operation modulo n que le resultat de ce 
calcul est bien coherent avec le (les) 
engagement (s) regu(s). 

3. Procede selon la revendication 2, dans lequel 
la taille du nombre n, exprimee en nombre de bits, est 
inf erieure a 1 000 . 

4. Procede selon la revendication 3, dans lequel 
la taille du nombre n est comprise entre 700 et 800. 

5. Procede selon l'une quelconque des 
revendications 1 a 4, dans lequel n est le produit d'au 
moins deux nombres premiers (p, q) et dans lequel les 
operations modulo n sont effectuees par la methode dite 
"des restes chinois" . 
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6. Procede de signature de message par une entite 
dite "signataire" (A) , cette entite possedant une cle 
publique v et une cle secrete s, ces cles etant reliees 
par une operation modulo n ou n est un entier appele 

5 "module" qui est propre au signataire, comprenant des 
moyens aptes a calculer un engagement c fonction 
notamment du message a signer M et un nombre y fonction 
de la cle secrete, a emettre les nombres y et c qui 
constituent la signature du message M et le message M, 
10 ce procede etant caracterise en ce que 1 ' operation 
modulo n est 1 ' operation v=s~ t (mod n) , t etant un 
parametre . 

7. Procede de signature selon la revendication 6, 
15 dans lequel le signataire choisit au hasard un nombre 

entier r compris entre 1 et n-1, calcule un parametre x 
egal a r t (mod n) , calcule un nombre c fonction du 
parametre x et du message a signer M, calcule un nombre 
y a I'aide de sa cle secrete s et fonction des nombres 
20 r et e, et emet les nombres c et y comme signature. 
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THE FOLLOWING IS THE ENGLISH TRANSLATION OF THE 
ANNEXES TO THE INTERNATIONAL PRELIMINARY 
EXAMINATION REPORT: , AMENDED SHEETS (Pages 5, 6, 
7, 13, 14 and 15). 



In their basic versions, none of the above 
mentioned protocols can be implemented in an 
application that has to comply with severe 
specifications (low cost, low sophistication), as 
described in the previous section, as the required 
calculations could not be performed by a microprocessor 
card without a cryptoprocessor . 

Though the French patent application FR-A- 2 752 
122 describes an optimisation of these protocols, it is 
restricted to protocols involving the discrete 
logarithm method following a mode called "with pre- 
calculations" that has the drawback of implying 
regularly scheduled reloads. 

The present invention appropriately suppresses 
this drawback. It aims to reduce the number of 
calculations to be carried out by the prover when using 
zero-knowledge identification (or message signature or 
authentication) protocols involving factoring, the gain 
being liable to reach a factor 2 or 3 . 

It also enables - and in particular when coupled 
with the GUILLOU-OUISQUATER protocol - the fast 
completion of a public key identification (or message 
authentication or signature) algorithm included in a 
low cost standard microcircuit card, for applications 
such as the electronic purse or next generation 
telecard . 
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Description of the invention 

This aim is fulfilled by selecting a modulus n 
which is not a universal value but an individual value 
(in other words, each entity has its own n value), and 
5 by using this selection in the following two ways 
(which may be advantageously combined) : 

1) first by retaining a length of n lower than the 
currently used values (typically lower than 
1000 bits and for example, ranging between 700 

10 and 800 bits); this is possible as breaking the 

factoring of n only compromises the secret key 
of the related user and in no way the secret 
keys of other users; this modification alone 
reduces the duration of calculations carried 

15 out modulo n by 40%; 

2) If the user has stored the prime factors of n 
in the memory of his security device, he (or 
she) may use the Chinese remainders technique 
to reduce the duration of modulo n calculations 

20 by a further 40%, when there are two prime 

factors; this reduction may be increased when 
using several prime factors (typically 3 or 4). 
On the whole, the modulo n calculations can then 
be reduced by 60%, that is a factor 2, at least. 

25 

Precisely, the invention relates to a process of 
identification involving a first entity called a 
"prover", which possesses a public key v and a secret 
key s, these keys being related by a modulo n 
30 calculation where n is an integer called modulus, and a 
second entity called a "verifier", which knows the 
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public key v, these entities being provided with means 
to exchange information in a zero-knowledge context and 
to carry out cryptographic calculations on this 
information, some calculations being performed in 
5 modulo n mode, the process being characterised by the 
fact that the value of n is specific to the prover 
entity, which communicates it to the verifier entity. 

The aforementioned entities may be, for example, 
microcircuit cards, electronic purses, telecards, and 
10 so on... 

Following a preferred implementation, the modulo n 
calculation is of the kind v=s _t (mod n), where t is a 
parameter and the zero-knowledge information exchanges 
are the following: 
15 ■ the prover selects one (several) integer(s) 

at random, r ranging between 1 and n-1, and 
calculates one (several) parameter (s) x 
equal to r* (mod n), then one (several) 
number (s) c called opening(s) which is 
20 (are) one (several) function(s) of this 

(these) parameter(s) and possibly of a 
message (M), and sends this (these) 
opening(s) to the verifier; 

■ the verifier entity receives the opening(s) 
25 c, selects one number e called a "question" 

at random and sends this question to the 
prover ; 

■ the prover receives the question e, carries 
out one (several) calculation ( s ) using this 

30 question e and the secret key s., the result 

of this (these) calculation ( s ) yielding one 
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Claims 



10 



15 



20 



25 



1. Authentication process involving a first entity 
called a "prover" (A) , which possesses a public key v 
and a secret key s., these keys being related by an 
operation modulo n, where n is an integer called 
modulus, and a second entity called a "verifier" (B), 
which knows the public key v, wherein these entities 
are provided with means to exchange zero-knowledge 
information and carry out cryptographic calculations on 
this information, some calculations being carried out 
modulo n, the process being characterised in that the 
modulus n is specific to the prover (A) , which 
communicates this modulus to the verifier (B). 

2. Process according to claim 1, wherein the 
modulo n calculation is of the type v=s -t (mod n), t 
being a parameter, wherein the information exchanges 
are of zero-knowledge type and wherein the 
cryptographic calculations are completed as follows: 



■ the prover (A) selects one (several) 
integer (s) r at random, ranging between 1 
and n-1 and calculates one (several) 
parameter (s) (x) equal to r 1 (mod n), then 
one (several) number (s) c called opening(s) 
which is (are) one (several) function(s) of 
this (these) parameter(s) and possibly of a 
message (M), and sends this (these) 
opening(s) to the verifier (B); 

■ the verifier entity (B) receives the 
opening(s) c, selects one number e at 
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random called "question" and sends this 
question to the prover (A) ; 
■ the prover (A) receives the question e, 
carries out one (several) calculation ( s ) 
5 using this question e and the secret key s, 

the result of this (these) calculation ( s ) 
yielding one (several) answer (s) y_ and 
sends this (these) answer (s) to the 
verifier ( B ) . 

10 ■ The verifier (B) receives the answer (s) y_, 

carries out one calculation using the 
public key v and the modulus n, and checks 
with a modulo n calculation that the result 
is coherent with the received opening(s) . 

15 

3. Process according to claim 2, wherein the size 
of the number n, expressed in number of bits, is less 
than 1 000. 

20 4. Process according to claim 3, wherein the size 

of the number n is between 700 and 800. 

5. Process according to any of claims 1 to 4, 
wherein n is the product of at least two primes (p and 

25 q) and wherein the modulo n calculations are performed 
according to the method called "Chinese remainders". 

6. Message signature process intended for a 
signatory (A) provided with a public key v and a secret 

30 key s., wherein these keys are related via a modulo n 
calculation, where n is an integer called modulus, the 
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said process involving means to calculate an opening c 
that is notably function of the message M to be signed, 
able to calculate a number y, that is a function of the 
secret key, and able to transmit the numbers y_ and c 
5 that are the signature of the message and to transmit 
the message M, the process being characterised in that 
the modulus n is specific to the signatory. 

7. Signature process according to claim 6, wherein 
10 the modulo n operation is the relation v^s'^ (mod n) and 
wherein the signatory selects an integer r at random 
between 1 and n-1, calculates a parameter x equal to r* 1 
(mod n), calculates a number c that is a function of 
parameter x and message M to be signed, calculates a 
15 number y. using its secret key s., the said number y_ 
being a function of numbers r and e, and transmits the 
numbers c and y_ as signature. 
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Destinataire: 

DU BOISBAUDRY, Dominique 
Brevalex 

Riip Du Dortpur Lancereaux 
F-75008 Paris 
FRANCE 


Date d'expedrtion (jour/mois/annee) 
27 avril 2001 (27.04.01) 


Reference du dossier du deposant ou du mandataire 
SP16207.C RS 


NOTIFICATION IMPORTANTE 


Demande Internationale no 
PCT/FR00/00174 


Date du depot international (jour/mois/annee) 
26 janvier2000 (26.01.00) 



1. Les renseignements suivants etaient enregistres en ce qui concerne: 



□ 



le deposant 



□ 



I'inventeur 



le mandataire | | le representant commun 



Norn et adresse 

DU BOISBAUDRY, Dominique 
Societe De Protection Des 
Inventions 

3, Rue Du Docteur Lancereaux 

F-75008 Paris 

FRANCE 


Nationalite (nom de I'Etat) 


Domicile (nom de I'Etat) 


no de telephone 
01 53 83 94 00 


no de telecopieur 
01 45 63 83 33 


no de teleimprimeur 


2. Le Bureau international notifie au deposant que le changement indique ci-apres a ete enregistre en ce qui concerne: 
| | la personne | | le nom X I'adresse [^] la nationalite Qj] le domicile 


Nom et adresse 

DU BOISBAUDRY, Dominique 
Brevalex 

3, Rue Du Docteur Lancereaux 

F-75008 Paris 

FRANCE 


Nationalite (nom de I'Etat) 


Domicile (nom de I'Etat) 


no de telephone 
01 53 83 94 00 


no de telecopieur 
01 45 63 83 33 


no de teleimprimeur 



3. Observations compl£mentaires, le cas echeant: 



4. Une copie de cette notification a ete envoyee: 

| X| a I'office recepteur | | aux offices designes concernes 

| [ a Tad ministration chargee de la recherche Internationale | X| aux offices elus concernes 

| [ a I'administration chargee de I'examen preliminaire international | [ autre destinataire: 





Fonctionnaire autorise: 


Bureau international de I'OMPI 


34, chemtn des Colombettes 


Sean Taylor 


121 1 Geneve 20, Suisse 


no de telecopieur (41 -22) 740.14.35 


no de telephone (41 -22) 338.83.38 
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Defective images within this document are accurate representations of the original 
documents submitted by the applicant. 

Defects in the images include but are not limited to the items checked: 

□ BLACK BORDERS 

□ IMAGE CUT OFF AT TOP, BOTTOM OR SIDES 

□ FADED TEXT OR DRAWING 



lid BLURRED OR ILLEGIBLE TEXT OR DRAWING 

□ SKEWED/SLANTED IMAGES 

□ COLOR OR BLACK AND WHITE PHOTOGRAPHS 

□ GRAY SCALE DOCUMENTS 

□ LINES OR MARKS ON ORIGINAL DOCUMENT 

□ REFERENCE(S) OR EXHIBIT(S) SUBMITTED ARE POOR QUALITY 

□ OTHER: 

IMAGES ARE BEST AVAILABLE COPY. 
As rescanning these documents will not correct the image 
problems checked, please do not report these problems to 
the IFW Image Problem Mailbox. 



BEST AVAILABLE IMAGES 




